Присјећање свих лозинки за све ваше мрежне налоге је изазовно и зато постоје менаџери лозинки попут ЛастПасс, Дасхлане и 1Пассворд. Али ове огромне шифроване базе података корисничких имена и лозинки главна су мета криминалаца и многи програми су претрпели кршења.
Ове недеље, бесплатни менаџер лозинки КееПасс објавио на свом сајту да постоји рањивост у свом софтверу и хакери би могли корисницима да шаљу лажне исправке софтвера који садрже малвер представљајући се као нови КееПасс софтвер. КееПасс користи нешифровани протокол за пренос хипертекста (ХТТП) уместо безбедне верзије ХТТПС. (Ако не знате шта су ХТТП и ХТТПС, погледајте УРЛ ове странице. ХТТПС је протокол који хостује податке који се шаљу између Интернет прегледача и веб локација. ХТТПС је сигуран и потврђује идентитет сваке веб локације и сервера ради сигурни да се злонамерна веб локација не представља као легитимна.)
Истраживач безбедности Флориан Богнер каже ЛифеХацкер да зато што КееПасс користи ХТТП за ажурирање софтвера, преваранти могу створити лажну исправку обогаћену злонамерним софтвером.
КееПасс на својој веб страници објашњава:
Датотека са информацијама о верзији се преузима са веб локације КееПасс преко ХТТП-а. Стога је човек у средини (неко ко може да пресретне вашу везу са веб локацијом КееПасс) могао да врати нетачну датотеку са информацијама о верзији, што ће можда учинити да КееПасс прикаже обавештење да је доступна нова верзија КееПасс-а.
КееПасс каже да то што вам хакер шаље лажно ажурирање са малвером не значи да је напад у покрету јер КееПасс не хостира аутоматска ажурирања. Корисници КееПасс-а морају ручно да преузму нову верзију. КееПасс каже да би корисници требало да провере дигитални потпис и ако га има злонамерни софтвер, немојте га преузимати.
је Ејнсли Ерхард у сродству са Дејлом Ерхардом
За више информација о начину провере дигиталног потписа погледајте Богнер-ов видео испод:
